Gartner Magic Quadrant für SIEM
Mehr Sicherheit mit Splunk und Google Workspace
Von
Splunk
Business-Productivity-Suites und Collaboration-Werkzeugkisten wie Google Workspace sind für Unternehmen längst unverzichtbar geworden. In Google Workspace sind dann nicht nur kritische Informationen gespeichert, sondern auch Einstellungen (zum Beispiel bei Google Groups), die den Zugriff auf Daten quer durch die gesamte Google-Nutzung eines Unternehmens regeln (Workspace und Google Cloud Platform).
Die Audit-Logs, die von diesen Diensten generiert werden, zu sammeln und zu analysieren, ist der erste und entscheidende Schritt auf dem Weg zur Erkennung und Untersuchung potenzieller Sicherheitsvorfälle. Mit dem neuen Splunk Add-on for Google Workspace haben Splunk-Kunden jetzt eine genuine Splunk-Option für die Sammlung und Aufbereitung kritischer Audit-Ereignisse in Google Workspace.
„Mit dem Splunk Add-on for Google Workspace kann mein Kunde diese kritische Datenquelle nun von Haus aus zuverlässig und skalierbar in Splunk Cloud erfassen.“ – Brett Adams, Senior Technical Consultant NTT
Diese erste Google-Workspace-Integration konzentriert sich auf die Reports-API und erfasst damit grundlegende Audit-Events wie Admin, Login, OAuth Token, SAML und Google Drive. Google-Workspace-Ereignisse werden automatisch mit den korrekten Quelltypen geschrieben, die mit Splunk-CIM (Common Information Model) kompatibel sind und von Premium-Anwendungen wie Splunk Enterprise Security verstanden werden. Was ihr an Splunk Security Content und Dashboards habt, könnt ihr also weiter zur Analyse verwenden.
Mithilfe der Audit-Events von Google Workspace könnt ihr Anzeichen einer Kompromittierung erkennen und und entscheidende Fragen wie zum Beispiel diese beantworten:
- Bei welchen Benutzern sind innerhalb der letzten 24 Stunden mehr als drei Anmeldefehler aufgetreten?
- Wie viele Benutzerkonten wurden im letzten Monat ausgesetzt?
- Welche Benutzerkonten wurden im letzten Monat gelöscht?
Wir arbeiten bereits an einer umfassenden Erweiterung dieser Google-Workspace-Integration, die sich vor allem auf die Sammlung und Aufbereitung von Gmail-Metadaten konzentrieren wird. Allerdings wird dabei der E-Mail-Text selbst nicht von Splunk erfasst oder gespeichert – um den Speicherplatz im Rahmen zu halten und aus Gründen des Datenschutzes. Die Einbeziehung der Gmail-Header-Informationen in Splunk wird aber die Erkennung von kritischen Bedrohungen wie Phishing und Exfiltration spürbar erleichtern. Wir sind der Ansicht, dass ihr damit – in Kombination mit den Audit-Events der Erstversion – einen soliden Bestand an Sicherheitsdaten an die Hand bekommt.
Wir laden euch ein, das neue Splunk Add-On for Google Workspace auszuprobieren. Und bleibt dran – es kommt noch viel mehr Gutes von Splunk!
Vielen Dank auch an Todd McFarlane-Smith, Yemi Falokun und Roy Arsan von Google für die gute Zusammenarbeit bei diesem Produkt und für die Unterstützung unserer gemeinsamen Kunden!
*Dieser Artikel wurde aus dem Englischen übersetzt und editiert. Den Originalblogpost findet ihr hier.
Erfahren Sie mehr
Über Splunk
Die Splunk-Plattform beseitigt die Hürden zwischen Daten und Handlungen, damit Observability-, IT- und Security-Teams in ihren Unternehmen für Sicherheit, Resilienz und Innovation sorgen können.
Splunk wurde 2003 gegründet und ist ein globales Unternehmen – mit mehr als 7.500 Mitarbeitern, derzeit über 1.020 Patenten und einer Verfügbarkeit in 21 Regionen rund um den Globus. Mit seiner offenen, erweiterbaren Datenplattform, die die gemeinsame Nutzung von Daten in beliebigen Umgebungen unterstützt, bietet Splunk allen Teams im Unternehmen für jede Interaktion und jeden Geschäftsprozess End-to-End-Transparenz mit Kontext. Bauen auch Sie eine starke Datenbasis auf – mit Splunk.
Auf X mit Splunk vernetzen
@Splunk folgen
